[QUOTE][B]marshal64[/B][/QUOTE]
В п.3 настроек можно смело заменить:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

на

HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

потому что первый вариант не работает.

За последнюю неделю, десяток раз, на разных компьютерах обнаружил, что вредоносная программа прописала адрес своего dns-сервера

в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\Interfaces\*

Если прописать правило запрета изменения сетевых параметров в HIPS, то необходимые настройки TCP/IP нужно внести вручную предварительно. ;)

[QUOTE]santy пишет:
под защитой hosts я имею ввиду это правило
[url]http://forum.esetnod32.ru/messages/forum9/topic3141/message61767/#message61767[/url] [/QUOTE]
Понятно. Но все же вопрос остался открытым? Правило HIPS, описанное выше, распространяется на подкаталоги и файлы?

Файл [B]hosts[/B] находится, в подкаталоге System32, который уже защищен правилом от изменений.

[B]santy[/B]
Правило HIPS, которое защищает системный каталог "Windows\System32" распространяется на подкаталоги и файлы? Если да, то наверное необязательно отдельно защищать файл [B]hosts[/B]. Или все же стоит? ;)

[QUOTE]santy пишет:
w21life,
не хочется здесь затевать очередное "соревнование" с Касперским, но судя по разделу
[URL=http://forum.kaspersky.com/index.php?showforum=186]http://forum.kaspersky.com/index.php?showforum=186[/URL]
решено далеко не все.[/QUOTE]
Правильно, не о том речь. :)

[QUOTE]Loner пишет:
Последние винлоки поумнели. Они уже не пускают в безопасный режим. При попытке туда загрузиться, или синий экран, или морда винлока.[/QUOTE]
Бывает и такое. В таком случае грузимся c "Live CD" и достаем и правим клиентский реестр специальной утилитой. Чистой работы на 5-10 минут, в зависимости от "железа".

Затем загружаемся в обычном режиме и восстанавливаем загрузку в "безопасном режиме".

P.S. Этого всего можно было бы избежать, если бы компания ESET за 6-7 лет хоть как-то бы подошла к решению проблемы с "винлоками".

К пункту [B]3. "Защита системных записей в реестре"[/B] желательно добавить:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

[QUOTE]santy пишет:
скорее всего по работе с HIPS надо отдельную тему открывать, чтобы в ней фиксировать текущие проблемы и предложения. обратная связь по этому топику с разработчиками ESET достаточно низкая.[/QUOTE]
Любая здравая идея приветствуется. Важен конечный результат.

Все-таки, при установке ESET необходим выбор уровня защиты, наподобие: "базовый", "повышенный", "высокий", для начала. А по "винлокам" отслеживание подозрительного поведения файлов, в по поводу внедрения записей в определенные ветки реестра и последующее блокирование подозрительных действий и исправление реестра.

В последнее время самые ходовые "винлоки" внедряются в

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

Не нужно даже антивирусом сканить, достаточно убрать руками эти записи, загрузившись в "безопасном режиме с поддержкой командной строки", если конечно вредоносной программой не испорчена загрузка в "безопасном режиме".

Если можно, то добавьте к настройкам HIPS в тему http://forum.esetnod32.ru/forum9/topic8267/

[B]santy[/B]
"Винлок" не трагедия. Но ESET никак не реагирует на "винлокоподбоные" вредоносные файлы, которых нет в базе данных сигнатур. ;)

[B]Loner[/B] четко представляет то, чего не хватает ESET`у. Да и поверьте, не он один. Он выражает мнение большинства, а не "клуба по интересам".